Что это такое?

Это настройка данного туннеля STunnel.

Зачем это нужно?

Для безопасной передачи трафика конкретного приложения.

Как это настроить?

1. Выбрать, является ли устройство NSG в данном соединении клиентом или сервером.
2. Обязательными параметрами являются номер порта TCP для входящих соединений и номер порта TCP для исходящих соединений. Если исходящие соединения адресуются другому хосту (не тому, на котором работает сам STunnel), то обязателен также его IP-адрес.
3. Сервер STunnel во всех случаях имеет свою пару ключей RSA. Для этого на сервере должны быть указаны файл его приватного (закрытого) ключа и файл сертификата (открытый ключ передаётся в теле сертификата).
4. Если на сервере задана аутентификация клиентов по их сертификатам, то для этого, дополнительно к п.3, на клиенте должны быть указаны файл его приватного (закрытого) ключа и файл сертификата.
5. Если на устройстве (клиенте или сервере — не важно) задана аутентификация удалённой стороны, то на нём должен быть указан файл корневого сертификата, которым подписан сертификат этого партнёра. Как правило, в практически осмысленных конфигурациях все сертификаты в системе подписываются одним корневым сертификатом.

Остальные параметры не обязательны. Подробнее см. справку по этим параметрам.

ВНИМАНИЕ! Сертификаты имеют конечный срок действия. Во избежание потери связи с клиентами необходимо заблаговременно заменять сертификаты, срок действия которых истекает.

ВНИМАНИЕ! Для работы TLS/SSL необходимо, чтобы на всех устройствах было корректно установлено системное время. Настоятельно рекомендуется синхронизировать все устройства от единого сервера NTP, доступного по открытому каналу или, как минимум, без использования сертификатов.